Тема: Протокол мережевого рівня IP.
Мета: Навчитися аналізувати пакети даних протоколу IP (за допомогою програмних засобів аналізу пакетів даних – програми-сніфера Wireshark).
Питання до вивчення
1. Протокол мережевого рівня IP.
2. Аналіз пакетів протоколу IP засобами програми Wireshark.
3. Аналіз фрагментації пакетів.
Короткі теоретичні відомості
Для ознайомлення з інтерфейсом програми Wireshark скористайтесь документом «Аналізатор пакетів Wireshark» або документацією користувача «Wireshark User’s Guide». Лабораторна робота виконується на основі аналізу IP-дейтаграм, відправлених та отриманих під час виконання програми traceroute. Нагадаємо, що traceroute спочатку відправляє заданому адресату одну або кілька IPдейтаграм з часом життя (TTL) у полі заголовку, встановленим в 1; потім вона посилає серію з одного або кількох дейтаграм до того ж одержувача з TTL = 2 , далі – серію дейтаграм з TTL = 3, і так далі. Кожний маршрутизатор зменшує поле TTL заголовку на одиницю і передає дейтаграму далі. Якщо значення TTL досягає нуля, маршрутизатор повертає ICMP-повідомлення (тип 11 – перевищення TTL) хосту-відправнику.
Завдання:
1. Запустіть програму Wireshark. Виконайте захоплення пакетів при роботі утеліти traceroute
2. Виберіть перше повідомлення ICMP Echo Request, відправлене вашим комп’ютером, і розгорніть у вікні подробиць пакетів протокол Internet Protocol.
3. Дайте відповіді на питання: a) Яка IP-адреса комп’ютера відправника? b) Яке значення поля «протокол вищого рівня» у заголовку пакету IP? c) Скільки байтів має заголовок IP? d) Скільки байтів має поле даних дейтаграми IP? Поясніть, як ви визначили кількість байтів корисного навантаження. e) Чи була ця IP-дейтаграма фрагментована? Поясніть, як ви визначили, чи була дейтаграма фрагментована.
4. Далі відсортуйте пакети за IP-адресою джерела, клацнувши на заголовку стовпчика Джерело (Source), поряд із словом Source повинна з’явитися маленька стрілочка вниз. Якщо стрілка вказує вгору, клацніть по заголовку стовпчика Джерело знову. Виберіть перше повідомлення ICMP Echo Request, відправлене вашим комп’ютером, і розгорніть у вікні подробиць пакетів протокол Internet Protocol. У вікні «списку захоплених пакетів» нижче від цього першого ICMP ви повинні побачити всі наступні повідомлення ICMP (можливо, перемішані з пакетами від інших протоколів, що працюють на комп’ютері). Використовуйте стрілку вниз на клавіатурі для переміщення по повідомленнях ICMP, відправлених вашим комп’ютером.
Дайте відповіді на питання: a) Які поля IP-дейтаграм завжди змінюються від однієї дейтаграми до іншої в рамках серії повідомлень ICMP, відправлених комп’ютером? b) Які поля залишаються незмінними? Які поля повинні залишатися постійними? Які поля повинні змінитися? Чому?
Далі (в пакетах, відсортованих за адресою відправника) знайдіть серію ICMP відповідей із перевищенням TTL, прийнятих комп’ютером від найближчого маршрутизатора.
Дайте відповіді на питання: a) Які значення стоять у полі ідентифікатора і полі TTL? b) Чи ці значення залишаються незмінними для всіх ICMP-відповідей із перевищенням TTL, прийнятих комп’ютером від найближчого маршрутизатора? Чому?
5. Знайдіть перший фрагмент у фрагментованих IP-дейтаграмах. a) Яка інформація у заголовку IP означає, що дейтаграма була фрагментована? b) Яка інформація у заголовку IP вказує, що це є перший фрагмент у порівнянні з наступними фрагментами? c) Яку довжину має ця IP-дейтаграма?
6. Вивести другий фрагмент фрагментованих IP-дейтаграм. a) Яка інформація у заголовку IP показує, що це не перший фрагмент дейтаграм? b) Чи є ще фрагменти? Як ви можете про це дізнаться? c) Яке поле змінюється в IP-заголовку між першим і другим фрагментами?